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. Abstract of EP1 1 1 5094 

During a cryptographic operation in the integrated circuit at least two 
processors, CPU or co-processors are used in parallel at same time. Single 
current paths can no longer be reconstructed as current paths of the two 
parallel operating processors add together, so differential power analysis 
cannot be used. Smart card or chip card contains data processing circuitry 
with CPU or co-processor (10), co-processor (12), with divider (18) between 
processors and data input (14). Divider divides cryptographic operation into 
first and second part operations (20,22) with random input (24) to feed data 
parts to the processors. During the cryptographic operation the two 
processors operate in parallel at same time. Single current paths can no 
longer be reconstructed as current paths of the two parallel operating 
processors add together, so differential power analysis cannot be used. 
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(54) Datenverarbeitungseinrichtung und Verfahren zu dessen Betrieb 



(57) Die vorliegende Erfindung betrifft eine Daten- 
verarbeitungseinrichtung* insbesondere Chipkarte oder 
Smart Card, sowie ein Verfahren zu dessen Betrieb, mit 
einer integrierten Schaltung, welche eine Zentralre- 
cheneinheit (CPU) (10) sowie einen oder mehrere Co- 
Prozessor (12) aufweist. Hierbei weist die integrierte 



Schaltung eine Steuereinheit (18, 30) auf, welche die 
Prozessoren, CPU (10) bzw. Co-Prozessoren (12), der- 
ail ansteuert, dass im Falle einer kryptographischen 
Operation wenigstens zwei der Prozessoren gleichzei- 
tig und parallel eine kryptographische Operation aus- 
fuhren. 
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Beschreibung 

Techriisches Gebiet 

[0001] DieErfindungbetriffteinVerfahrenzumBetrei- 
beh einer Datenverarbeitungseinrichtung, insbesonde- 
re einer Chipkarte Oder Smart Card, mit einer integrier- 
ten Schaltung, welche eine Zentralrecheneinheit (CPU) 
sowie einen oder mehrere Co-Prozessoren aufweist, 
wobei von der integrierten Schaltung kryptographische 
Operationen ausgefuhrt werden, gemaft dem Oberbe- 
griff des Anspruchs 1 . Die Erfindung betrifft ferner eine 
Datenverarbeitungseinrichtung, ihsbesondere Chipkar- 
te oder Smart Card, mit einer integrierten Schaltung, 
welche eine Zentralrecheneinheit (CPU) sowie einen 
oder mehrere Co-Prozessor aufweist, gemafc dem 
Oberbegriff des Anspruchs 10. 

Stand der Technjk 

[0002] In vielen Datenyerarbeituhgsgeraten mit inte- 
. gnerter Schaltung dienen beispielsweise kryptographH- 
sche Operationen zum Schutz des Betriebes dieser Ge- 
rate bzw. zum Schutz von in .dem Gerat gespeicherten 
Daten. Die hierfur nqtwendigen Rechenoperatiorien 
werden dabei sowohl' von Staindard-Rechenwerken 
(CPU) als auch von dedizierten Crypto-Rechenwerken 
(Co-Prozessor) durchgefuhrt. Ein typisches Beispiel fur 
letzteres sind Chipkarten bzw. IC-Karten, wie beispiels- 
weise eine^sogen. Smart Card. Bei in diesem Zusam- 
rhenhang very/en deten Daten bzw. Zwischenergebnis- 
sen handelf es ;sich ublicherweise um sicherheitsrele- 
vante Informationen, wie beispielsweise kryptographi- 
sche Schlussel oder Operanden. 
[0003] Bei von der integrierten Schaltung durchge- 
fuhrten Rechenoperatipneri, beispielsweise zurBerech- 
, nung von kryptog ra phi schen Aigorithfnen, werden logi- 
sche Verkriupfungen zwischen Operanden bzw. Zwi- 
schenergebnissen durchgefuhrt. In Abhangigkeit von 
der verwendeten Technologie fun reh diese Operatio- 
nen, insbesondere das Laden von leeren oder zuvor ge- 
loschten Speicherbereichen bzw. Register mit Daten, zu 
einem erhohten JStromverbrauch . der Datenverarbei- 
tungsgerate. Bei komplementarer Logik, wie beispiels- 
weise der CMOS-Technik, tritt ein erhohter Stromver- 
brauch dann auf, wenn der Wert einer Bit-Speicherzelle 
geandert wird, d.h. sein Wert sich von "0" auf "1" andert. 
Der erhohte Verbrauch hangt dabei von der Anzahl der 
. im Speicherbzw. Register ge^nderten Bitstellen ab. Mit 
anderen Worten lasst das Laden eines zuvor gelosch- 
ten Registers einen Stromverbrauch proportional zum 
Hamminggewicht des in das ieere Register geschriebe- 
nen Operanden (=Anzahl der Bits mit dem Wert "1") an- 
steigen. Durch eine entsprechende Analyse dieser Stro- 
mariderung konnte es moglich sein, Informationen uber 
die berechneten Operationen zu extrahieren, so dass 
eine erfolgreiche Kryptoahalyse von geheimen Operan- 
den, wie beispielsweise kryptographischen Schiusseln, 



: moglich ist Mittels Durchfuhrung mehrerer Strommes- 
sungen am Datenverarbeitungsgerat korinte beispiels- 
. weise bei sehr kleinen Signalanderuhgen eine hinrei- 
chende Extraktion der Informationen ermSglicht wer^ 
den. Andererseits konnten mehrere Strommessungen 
eine ggf. erforderliche Differenzbildung ermoglichen. 
Diese Art der Kryptoanalyse wird auch als "Differential 
Power Analysis" bezeichnet, mittels derer ein Auften- 
stehender durch reine Beobachtung von Anderungen 

10 des Stromyerbrauches des Datenverarbeitungsgerates 
eine ggf. unberechtigte Kryptoanalyse der kryptographi- 
schen Operationen, Operanden bzw. Daten erfolgreich 
ausfuhren kann. Die "Differential Power Analysis" er- 
mdglicht somit.uber eine reine Funktionalitat hinaus zu- 

15 satzliche interne Informationen einer integrierten Schal- 
tung gewinnen zu konnen. 

[0004] Ein typisches Einsatzgebiet von den vorer- 
wahnteh Smart Cards. sind beispielsweise Applikatio- 
hen, bei denen die Smart Card als sicherer Informati- 
ve onsspeicher benutzt wird.. Kryptographische Operatio- . 
nensichern dabei den Zugang zu diesen Applikationen, 
indem die Smart Card se|bstandig Versehlusseiungs- 
operationen zum Zwecke der Authentikatioh ausfuhrt. 
Dies ist nur moglich durch Veryyendung eines speziellen 
25 Smart Card Controllers (Mikrocontroliers), der durch ge- 
eignete Software gesteuert wird. Der Komrnunikations- 
kanal zwischen Smart Card Controller und Smart Card 
Terminal ist direkt durch kryptographische Methoden 
gesichert, deren Sicherheitsniveau wesentlich vom ver- 
30 wendeten kryptographischen Aigorithmus abhangt. 
[0Q05] Um den Authentikationsvorgang einer Smart 
Card faischen'zu konnen, muss das Authentikationspro- 
tokoll mittels eines Nachbaus emuliert werden konnen. 
Dies ist bei sicheren Protokollen nur dadurch moglich, 
35 indem der verwendete geheime kryptographische 
Schlussel analysiert wird, der .auf der Smart Card ge- 
speichert ist. 

[0006] Da Smart Card Controller reproduzierbar ar- 
beitende Maschinen sind, konnten mittels der Analyse 

40 . von indirekten Abstrahlungea einer Smart Card wah- 
rend der Operation, etwa durch Messen des zeitlicheh 
Verlaufs des Stromverbrauchs mit der o.g. "Differential 
Power Analysis", interne Vorgange im Smart Card Con- 
troller bestimmt und letztendlich der geheime Schlussel 

45 ermittelt werden. Analysiert wird hierbei das reprodu- 
zierbare, deterministische Stromprofil fur gleiche Pro- 
grammsequenzen einer Smart Card Controllerschal- 
tung. 

[0007] AusderUS4 813 024isteineintegrierteSchaI- 
50 tung zum Speichern und . Verarbeiten geheimer Daten 
bekannt, wobei ein Speicher eine Simulatidnsspeicher- 
zelle aufweist, welche einen identischen Stromver- 
brauch aufweist wie eine Speicherzelle, die bisher nicht 
programmiert wurde. Hierdurch werden Schwankungen 
55 in Strom und Spannung nur fur die Speicherzelle elimi- 
niert, jedoch nicht fur die Verarbeitung der Daten. 
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Darstellung der Erfindung, Aufgabe, Losung, Vorteile 

[0008] Es ist Aufgabe der vorllegenden Erfindung, ein 
verbessertes Verfahren sowie eine verbesserte Datenr 
verarbeitungseinrichtung der obengepannten Art zur 
Verfugung zu stellen, welche die obengenannten Nach- 
teile beseitigen und eine "Differential Power Analysis" 
so weit wie moglich erschweren. 
[0009] Diese Aufgabe wird durch ein Verfahren der o. 
g. Art mit den in Anspruch 1 gekennzeichneten Merk- 
malen und durch eine Datenverarbeitungseinrichtung 
der o.g. Art rnit den in Anspruch 10 gekennzeichneten 
Merkmalen gelost. 

[0010] Dazu ist es bei einem Verfahren der o.g. Art 
erfindungsgemaii vorgesehen, dass bei Durchtuhrung 
einer kryptographischen Operation in der integrierten 
Schaltung jeweils wenigstens zwei Prozessoren, CPU 
bzw. Co-Prozessoren, gleichzeitig und parallel eine 
kryptographische Operation ausfuhren. 
[001 1] Dies hat den Vorteil, dass sich im Betrieb wah- 
rend einer kryptographischen Operation ein Stromver- 
brauch der Datenverarbeitungseinrichtung aus den je- 
weiligen Stromaufnahmen der wenigstens zwei parallel 
arbeitenden Prozessoren aufsummiert, so dass die ein- 
zelnen Stromverlaufe nicht mehr rekonstruierbar sind. 
-Eine "Differential Power Analysis" ist somit nicht mehr 
erfolgreich durchfuhrbar. 

[0012] VorzugsweiseWeitergestaltungendesVerfah- 
rens sind in den Anspruchen 2 bis 9 beschrieben. 
[0013] In einer bevorzugten Ausfuhrungsform ist nur 
die kryptographische Operation eines Prozessors, CPU 
bzw. Co-Prozessoren, eine Nutzoperation und sind alle 
anderen kryptographischen Operationen Dummyope- 
rationen, deren Ergebnis verworfen wird, wobei optional 
die Auswahl, welcher Prozessor, CPU oder Go-Prozes- 
sor, eine Nutzoperation ausfuhrt, zufallsgesteuert wird. 
[0014] In einer alternativen bevorzugten Ausfuh- 
rungsform ist die kryptographische Operation im Sinne 
des Stromverbrauchs aufgeteilt in zwei zueinander 
komplementare Operationen. Fuhren nun zwei identi- 
sche Co-Prozessoren die jeweils komplementare kryp- 
tographische Operation zeitgleich aus, addieren sich 
die Stromverlaufe ebenfalls komplementar, so dass ei- 
ne DPA nicht mehr erfolgreich durchgefuhrt werden 
kann bzw. im Aufwand erheblich gesteigert werden 
muss. 

[0015] Zum Erzielen einer besonders starken Ver- 
schleierung der von der "Differential Power Analysis" 
verwendeten Stromkurve und um etwaige Asymmetrien 
in den identisch konstruierten Co-Prozessoren auszu- 
gleichen, wird die kryptographische Operation in Teil- 
operationen zerlegt. Die Auswahl, welcher Co-Prozes- 
sor welche Operation komplementar oder nicht-komple- 
mentar ausfuhrt wird dabei zufallsgesteuert. 
[0016] In einer weiteren alternativen Ausfuhrungs- 
form wird eine kryptographische Operation in wenig- 
stens zwei Teiloperationen aufgeteilt und werden die 
Teiloperationen gleichzeitig und parallel von den Pro- 



zessoren, CPU bzw. Co-Prozessoren, ausgefuhrt sowie 
anschliefcend entsprechende Teilergebnisse zu einem 
Gesamtergebnis der gesamten kryptographischen 
Operation zusammengefugt. Optional wird die Auftei- 
5 lung der kryptographischen Operation in Teiloperatio- 
nen zufallsgesteuert. Beispielsweise sind die Teilopera- 
tionen Teile einer Verschlusselung nach DES (Data En- 
cryption Standard). 

[001 7] Ferner ist es bei einer Datenverarbeitungsein- 
10 richtung erfindungsgemafc vorgesehen, dass die inte- 
grierte Schaltung eine Steuereinheit aufweist, welche 
die Prozessoren, CPU bzw. Co-Prozessoren, derart an- 
steuert, dass im Falle einer kryptographischen Operati- 
on wenigstens zwei der Prozessoren gleichzeitig und 
15 parallel eine kryptographische Operation ausfuhren. 
[0018] Dies hat den Vorteil, dass sich im Betrieb wah- 
rend einer kryptographischen Operation ein Stromver- 
brauch der Datenverarbeitungseinrichtung aus den je- 
weiligen Stromaufnahmen der wenigstens zwei parallel 
20 arbeitenden Prozessoren aufsummiert, so dass die ein- 
zelnen Stromverlaufe nicht mehr rekonstruierbar sind. 
Eine "Differential Power Analysis" ist somit nicht mehr 
erfolgreich durchfuhrbar. 

[0019] Vorzugsweise Weiterbildungen der Datenver- 
25 arbeitungseinrichtung sind in den Anspruchen 11 bis; 14 
beschrieben. 

[0020] In einer bevorzugten Ausfuhrungsform weist 
die Steuereinheit einen Aufteiler auf, welcher eine kryp- 
tographische Operation in wenigstens zwei Teilopera- 

30 tionen aufteilt und zur gleichzeitigen Abarbeitung an 
zwei getrennte Prozessoren der integrierten Schaltung, 
CPU bzw. Co-Prozessoren, zufuhrt, wobei die Steuer- 
einheit bevorzugt ferner einen Rekombinierer aufweist, 
welcher jeweilige Teilergebnisse aus den von den Pro- 

35 zessoren gleichzeitig ausgefuhrten Teiloperationen wie- 
der zusammenfuhrt. 

[0021] Zum Verhindern einer erfdlgreichen Analyse 
einer Strbmverbrauchskurve wahrend der kryptographi- 
schen Operation ist der Aufteiler derart ausgebildet, 
40 dass wenigstens eine Teiloperation eine Dummyopera- 
tion ist, und dass derRekombinierer dergrt ausgebildet 
ist, dass dieser das jeweilige Ergebnis aus einem Pro- 
zessor, welcher eine Dummyoperation ausgefuhrt hat, 
verwirft. 

45 [0022] Eine besonders gute Verschleierung der 
Stromverbrauchskurve erzielt man dadurch, dass die in- 
tegrierte Schaltung zusatzlich einen Zufallsgenerator 
aufweist, welcher derart mit dem Aufteiler yerbunden ist, 
dass dieser zufallsgesteuert arbeitet. 

50 

Kurze Beschreibung der Zeichnungen 

[0023] Nachstehend wird die Erfindung anhand der . 
beigefugten Zeichnung naher erlautert. Diese zeigt in 
55 der einzigen Fig. ein schematisches Blockschaltbild ei- 
nes Teils einer integrierten Schaltung einer erfindungs- 
gemalien Datenverarbeitungseinrichtung. 
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Bester Weg zur Ausfuhrung der Erfindung 

[0024] Die einzige Figur zeigt einen Teil .einer inte- 
grierten Schaltung einer ansonsten nicht naher darge- 
stellteri Datenverarbeitungseinrichtung, welche bei- 
spielsweise eine Smart Card oder eine Chipkarte ist Die 
integrierte Schaltung umfasst eine zentrale Rechenein- 
heit (CPU) oder einpn Co-Prozessor A 10, einen Co- 
Prozessor B 12, einen Dateneingang 14 und einen Da- 
tehausgang 16. Zwischen dem Dateneingang 14 und 
der CPU Oder einen Co-Prozessor A 10 bzw. dem Co- 
Prozessor B 12 istein Aufteiler 18 angeordnet, welcher 
im Falle einer von der integrierten Schaltung auszufOh- 
renden kryptographischen Operation diese in eine erste 
und zweite Teiloperation in Form eines ersten Datenteils 
20 und eines zweiten Datenteils 22 aufteilt. Der erste 
Datenteil 20 wird der CPU Oder dem Co-Prozessor A 1 0 
und der zweite Datenteil 22 wird dem Co-Prbzessor B 
12 zum Abarbeiten mittels einer vorbestimmten krypto- 
graphischen Operation zugefuhrt. Der Aufteiler 18 weist 
ferner einen Zufailseingang 24 auf, mittels dem die Auf- 
teilung in die Datenteile 20, 22 zufallsgesteuert ausgee 
fuhrt wird. 

[0025] Die CPU oder der Co-Prozessor A 1 0 und der 
Co-Prpzessor B 12 fuhren eine jeweilige kryptographi- 
sche Operation gleichzeitig und parallel aus. Hierdurch 
uberiagem . sich entsprechende Stromverbrauchskur- 
ven (Stromverbrauchsamplitude QberZeit), so dass die 
Einzelkurven der Einzelgerate 10, 12 bzw. der jeweils 
in den Prozessoren 10, 12 getrennt ablaufenden Einzel- 
prozesse nicht mehr analysiert werden konnen. 
[0026] Aus der CPU oder dem Co-Prozessor A 10 
kommt ein erstes Ergebnis 26 und aus dem Co-Prozes- 
sor B 12 korhmt ein zweites Ergebnis 28, welche in ei- 
nem R6kombinierer 30 wieder zu einem Gesamtergeb* 
nis zusammen gefasst und dem Datenausgahg 1 6 zu- 
gefuhrt werden. Uber eine Verbindung 32 informiert da- 
bei der Aufteiler 18 den Rekombinierer 30 daruber, wie 
die jeweiligen Teilergebnisse 26, 28 wieder zusammen 
zu fugen sind. Dies ist ndtwendig, da aufgrund des Zu- 
fallseingangs 24 die Aufteilung durch den Aufteiler 18 
immer in zufallig unterschiediicher Weise erfoigt. 
[0027] Ein Pfeil bzw. eine Zeitachse 34 veranschau- 
licht den Datenfluss durch die erfindungsgerhalJe Vor- 
richtung uber die Zeit. Die Daten gelangen am Daten- 
eingang 14 in der Fig. links in die Vorrichtung, gelangen 
uber zwei parallele Datenwege 20, 22 zu den Prozes- 
soren 10, 12, werden in den Prozessoren 10, 12 weiter- 
yerarbeitet und gelangen uber die Wege 26, 28 wieder 
zusammen und verlassen die Vorrichtung in der Fig. 
rechts uber den Datenausgahg 16. Diese Daten umfas- 
sen beispielsweise an der Seite des Dateneingangs 14 
einen kryptographischen Schlussel oder Operanden, 
welcher zur Authentikation in den Prozessoren 10, 12 
eine kryptographische Operation durchlaufen, wobei ei- 
ne Authentikation nur dann als erfolgreich bzw. positiv 
angesehen wird, wenn am Datenausgang 16 ein vorbe- 
stimmtes Ergebnis ankommt. 



[0028] Zur Verschleierung des sich aufgrund der kryp- 
tographischen Operation ergebenden zeitiichen 
Schwankungen des Stromverbrauchs, welche in der so- 
gen. "Differentia! Power Analysis" einen Ruckschiuss 
5 auf die kryptographische Operation bzw. . den richtigen 
kryptographischen Schldssel eriauben konnte, werden 
die Prozessoren von der aus Aufteiler 18 und Rekom- 
binierer 30 gebildeten Steuereinheit derart angesteuert, 
dass die beiden Prozessoren 10,, .12 gleichzeitig und. 
10 parallel eine kryptographische Operation ausfuhren, so 
dass sich deren Stromverbrauchskurven uberiagem 
und nicht mehr getrennt analysiert werden konnen. Mit 
anderen Worten ist ein Trennung des von auften 
messbaren zeitiichen Verlaufes des Gesamtstrpmes 
15 nicht mehr moglich. 

[0029] Hierber wird der SchlQssel beispielsweise in 
. zwei Datenteile 20, 22 aufgeteilt, welche jeweils ge- 
trennt voneinander in den Prozessoren 10, 12 einer 
kryptographischen Operation uriterzogen und die Ein- 
20 zelergebnisse wieder-zusammen gefuhrt werden. Alter- 
nate lauft in beiden Prozessoren 10, 12 exakt dieselbe 
: kryptographische Operation ab, jedoch erhalt nur ein 
Prozessor 10 oder 12, beispielsweise die CPU oder der 
. Co-Prozessor A 10, den richtigen Schlussel, wahrend 
25 der jeweils andere Prozessor, beispielsweise der Co- 
Prozessor B 12, einen falschen Schlussel erhalt. Uber 
die Verbindung 32 informiert der Aufteiler 18 'den Re- 
kombinierer 30, dass dieser das zweite Ergebnis 29 zu 
yerwerfen hat und ledigtich das erste Ergebnis 26 aus 
'30 der GPU oder dem Co-Prozessor A 10 an den Daten- 
. ausgang 16 ubergibt. 1st hierbei der dem Co-Prozessor 
B 1 2 zugefuhrte falsche Schlussel das Komplernentdes 
der CPU oder dem Go-Prpzesspr A 10 zugefuhrten ech- 
ten Schlussel, so ergeben sich bei der Ausfuhrung der . 
35 .kryptographischen Operation komplementare : Strom- 
verbrauchswerte iri den beiden Prozessoren 10, .12, 
welche eine "Differential Power Analysis" faktisch un- 
moglich machen. 

{0030] Es erfoigt die Aufteilung der kryptographi- 

*o schen Operation auf die beiden Prozessoren 10, 12 der- 
art, dass niemals die typischen Stromverbrauchsverlau- 
fe der kryptographischen Operation eines einzeineh 
Schaltuhgsteiles 10, 12-bhne parallele Operation des je- 
weils anderen Schaltungsteiis 10, 12,-.also CPU oder 

45 Co-Prozessor A 10 bzw. Co-Prozessor B 12,;sichtbar 
werden.. > 
[0031] Die Steuereinheit 1 8, '30 nimmt die Aufteilung 
in Teilaufgaben beispielsweise derart vor, dass durch 
. Zufall gesteuert entschieden wird, welcher Schaltungs- 

50 teil 10,12 die reievante kryptographische Operation 
ausfQhrt. Der zu dem Zeitpunkt nicht reievante Schal- 
tungsteil 10, 12 fuhrt parallel dazu eine geeignete kryp- 
tographische Operation (Dummyoperation) aus, die 
siph im Stromverlauf vollig gleichwertig abbildet, aber 

55 fur die Gesamtberechnung unerheblich ist. 

[0032] Beispielsweise werden Telle einer DES (Data 
Encryption Standard) Verschlusseluhg kontinuierlich 
oder auch nur teilweise die linke Pder rechte Teilver- 
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schlusselung auf beide Schaltungsteile 10, 12 in durch 
Zufall ausgewahlten Runden ausgetauscht. 
[0033] Alternativ werden bei der Berechnung eines 
Triple-DES (einer mehrstuflgen Verschlusselung) die je- 
weils relevanten DES-Operationen zufallig zwischen 5 
den beiden Schaltungsteilen 1 0 und 1 2 verteilt , so dass 
nie vorhersehbar ist, welcher Schaltungsteile 10 Oder 
12 gerade die relevante kryptographische Operation 
ausfuhrt. Bei der Steuerung beider Schaltungsteile 10, 
12 ist zu beachten, dass deren typisches Frequenz- 10 
spektrum zumindest in Teiien identisch ist, so dass sich 
Uberlagerungen beider Stromverbrauchprofiie auch 
nicht im Frequenzraum mittels einer Fourier-Transfor- 
mationen separieren lassen. 

15 

BEZUGSZEICHENLISTE 
[0034] 

10 zentrale Recheneinheit (CPU) 20 
12 Co-Prozessor 
14 Dateneingang 
16 Datenausgang 
18 Aufteiler 

20 erster Datenteil 25 
22 zweiter Datenteil 
24 Zufaiiseingang 
26 erstes Ergebnis 
28 zweites Ergebnis 

30 Rekombinierer 30 
32 Verbindung zw. Aufteiler und Rekombinierer 
34 Zeitachse 

Patentanspruche 35 

1. Verfahren zum Betreiben einer Datenverarbei- 
tungseinrichtung, insbesondere einer Chipkarte 
Oder Smart Card, mit einer in tegrierten Schaltung, 
welche eine Zentralrecheneinheit (CPU) sowie ei- *o 
nen oder mehrere Co-Prozessoren aufweist, wobei 
von der integrierten Schaltung kryptographische 
Operationen ausgefuhrt werden, 

dadurch gekennzeichnet, 

dass bei Durchfuhrung einer kryptographischen 45 
Operation in der integrierten Schaltung jeweils we- 
nigstens zwei Prozessoren, CPU bzw. Co-Prozes- 
soren, gleichzeitig und parallel eine kryptographi- 
sche Operation ausfuhren. 

50 

2. Verfahren nach Anspruch 1, 
dadurch gekennzeichnet, 

dass nur die kryptographische Operation eines Pro- 
zessors, CPU bzw. Co-Prozessoren, eine Nutzope- 
ration und alle anderen kryptographischen Opera- 55 
tionen Dummyoperationen sind, deren Ergebnis 
verworfen wird. 



3. Verfahren nach Anspruch 2, 
dadurch gekennzeichnet, 

dass die Auswahl, welcher Prozessor, CPU oder 
Co-Prozessoren, eine Nutzoperation ausfuhrt, zu- 
fallsgesteuert wird. 

4. Verfahren nach einem der vorhergehenden Anspru- 
che, 

dadurch gekennzeichnet, 

dass eine kryptographische Operation in wenig- 
stens zwei Teiloperationen zerlegt wird und wenig- 
stens zwei Prozessoren diese Teiloperationen par- 
allel zeitgleich ausfuhren. 

5. Verfahren nach Anspruch 4, 
dadurch gekennzeichnet, 

dass eine kryptographische Operation im Sinne des 
Stromverbrauchs in zwei zueinander kompiemen- 
tare Operationen aufgeteilt wird. 

6. Verfahren nach Anspruch 5, 
dadurch gekennzeichnet , 

dass die Auswahl, welcher Prozessor die Operation 
komplementar oder nicht-komplementar ausfuhrt 
zufallsgesteuert wird. 

7. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet, 

dass eine kryptographische Operation in wenig- 
stens zwei Teiloperationen aufgeteilt und die Teil- 
operationen gleichzeitig urid parallel von den Pro- 
zessoren, CPU bzw. Co-Prozessoren, ausgefuhrt 
werden sowie anschlieftend entsprechende Teiler- 
gebnisse zu einem Gesamtergebnis der gesamten 
kryptographischen Operation zusammengefugt 
werden. 

8. Verfahren nach Anspruch 7, 
dadurch gekennzeichnet, 

dass die Aufteilung der kryptographischen Operati- 
on in Teiloperationen zufallsgesteuert wird. 

9. Verfahren nach Anspruch 7 oder 8, 
dadurch gekennzeichnet, 

dass die Teiloperationen Teile einer Verschlusse- 
lung nach DES (Data Encryption Standard) sind. 

10. Datenverarbeitungseinrichtung, insbesondere 
Chipkarte oder Smart Card, insbesondere zum 
Ausfuhren eines Verfahrens gemaft wenigstens er- 
nem der vorhergehenden Anspruche, mit einer in- 
tegrierten Schaltung, welche eine Zentralrechen- 
einheit (CPU) (10) sowie einen oder mehrere Co- 
Prozessoren (12) aiilweist, 

dadurch gekennzeichnet, 

dass die integrierte Schaltung eine Steuereinheit 
(18, 30) aufweist, welche die Prozessoren, CPU 
(10) bzw. Co-Prozessoren (12), derart ansteuert, 
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dass im Falle einer kryptographischen Operation 
wenigstens zwei der Prozessoren gleichzeitig und 
parallel eine kryptographische Operation ausfuh- 
ren. 

11. Datenverarbeitungseinrichtung nach Anspruch 10, 
dadureh gekennzeichnet, 

dass die Steuereinheit einen Aufteiler (18) aufweist, 
welcher eine kryptographische Operation in wenig- 
stens zwei Teiloperationen (20, 22) aufteilt und zur 10 
gleichzeitigen Abarbeitung an zwei getrennte Pro- 
zessoren der integrierten Schaltung, CPU (10) bzw. 
Co-Prozessoren (12), zufuhrt. 

12. Datenverarbeitungseinrichtung nach Anspruch 11 , 15 
dadureh gekennzeiphnet, 

dass die Steuereinheit ferner einen Rekombinierer 
(30) aufweist, weicher jeweilige Teilergebnisse (26, 
28) aus den von den Prozessoren (10, 12> gleich- 
zeitig ausgefuhrten Teiloperationen (20, 22) wieder 20 
zusamrrienfuhrt. 

13. Datenverarbeitungseinrichtung nach Anspruch 12, 
dadureh gekennzeiphnet, 

dass der Aufteiler (18) derart ausgebildet ist, dass 25 
wenigstens eine Teiloperation (20, 22) eine Dum- 
'myoperation ist, und dass der Rekombinierer (30) 
derart ausgebildet ist, dass dieser das jeweilige Er- 
gebnis (26, 28) aus einem Prozessor (10, 12), wei- 
cher eine Dummyoperation ausgefuhrt hat, verwirft. 30 

14. Datenverarbeitungseinrichtung nach einem der An- 
spruche 11 bis 13, 

dadureh gekennzeichnet, 

dass die integrierte Schaltung zusatzlich einen Zu- 35 
fallsgenerator (24) aufweist, welcrier derart mit dem 
Aufteiler (18) verbunden ist, dass dieser zufallsge- 
steuert arbeitet. 



45 
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